Actualité informatique
Test comparatif matériel informatique
Jeux vidéo
Astuces informatique
Vidéo
Télécharger
Services en ligne
Forum informatique
01Business

|-  SECURITE


|||-  

Ordinateur bloquer suite au virus ukash de la gendarmerie

 

46 utilisateurs inconnus
Ajouter une réponse
 

 
Page photos
 
 Mot :  Pseudo :  
Vider la liste des messages à citer
 
 Page :
1
Auteur
 Sujet :

Ordinateur bloquer suite au virus ukash de la gendarmerie

Prévenir les modérateurs en cas d'abus 
manubre
  1. Posté le 10/11/2012 à 02:15:41  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonjour à tous,

 Je suis infecté depuis hier soir (09/11/12) par le virus Ukash. J'ai lu les différents sujets d'internautes infectés, et vu qu'il faut visiblement appliquer une procédure "sur-mesure", je lance mon propre sujet.

 J'en suis à ce point :
 - j'ai démarré en mode sans échec avec prise en charge réseau
 - j'ai téléchargé roguekiller, lancé le scan, fait "supprimer", et le rapport est :

 RogueKiller V8.2.3 [07/11/2012] par Tigzy
 mail: tigzyRK<at>gmail<dot>com
 Remontees: http://www.sur-la-toile.com/di [...] ntees.html
 Website: http://www.sur-la-toile.com/RogueKiller/
 Blog: http://tigzyrk.blogspot.com

 Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
 Demarrage : Mode sans echec avec prise en charge reseau
 Utilisateur : VERO MANU [Droits d'admin]
 Mode : Suppression -- Date : 09/11/2012 22:47:31

 ¤¤¤ Processus malicieux : 1 ¤¤¤
 [SUSP PATH] HelpPane.exe -- C:\Windows\HelpPane.exe -> TUÉ [TermProc]

 ¤¤¤ Entrees de registre : 6 ¤¤¤
 [RUN][Rans.Gendarm] HKCU\[...]\Run : Update (C:\Users\VERO MANU\AppData\Roaming\wgsdgsdgd​sgsd.exe) -> SUPPRIMÉ
 [HJPOL] HKLM\[...]\System : DisableTaskMgr (0) -> SUPPRIMÉ
 [HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> SUPPRIMÉ
 [HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002​B30309D} (1) -> REMPLACÉ (0)
 [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595f​e6b30ee} (1) -> REMPLACÉ (0)
 [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002​B30309D} (1) -> REMPLACÉ (0)

 ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 ¤¤¤ Driver : [NON CHARGE] ¤¤¤

 ¤¤¤ Infection : Rans.Gendarm ¤¤¤

 ¤¤¤ Fichier HOSTS: ¤¤¤
 --> C:\Windows\system32\drivers\et​c\hosts



 ¤¤¤ MBR Verif: ¤¤¤

 +++++ PhysicalDrive0: WDC WD10EARS-22Y5B1 ATA Device +++++
 --- User ---
 [MBR] 6459f8de411572ee1902eae77fa386​02
 [BSP] 3eade2182b4b75d8c4909811298be5​db : Linux MBR Code
 Partition table:
 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 17408 Mo
 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 35653632 | Size: 100 Mo
 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 35858432 | Size: 80002 Mo
 3 - [XXXXXX] EXTEN (0x05) [VISIBLE] Offset (sectors): 199704015 | Size: 856355 Mo
 User = LL1 ... OK!
 User = LL2 ... OK!

 +++++ PhysicalDrive1: HP Photosmart 5510 USB Device +++++
 Error reading User MBR!
 User = LL1 ... OK!
 Error reading LL2 MBR!

 Termine : << RKreport[2]_D_09112012_224731.txt >>
 RKreport[1]_S_09112012_224445.txt ; RKreport[2]_D_09112012_224731.txt




 J'attends maintenant les instructions d'un utilisateur expérimenté.

 Merci beaucoup d'avance pour votre aide

Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 10/11/2012 à 04:50:13  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut manubre, bienvenu sur le forum 01net


 Je transfère ton sujet dans la section sécurité  :super:

 herisson41​-7 Télécharge et installe MalwareByte's Anti-Malware
 http://www.commentcamarche.net [...] lware-free

 herisson41​-7 Mets le à jour (Important)

 herisson41​-7 Double clique sur le raccourci de MalwareByte's Anti-Malware qui est sur le bureau.
 herisson41​-7 Sélectionne Exécuter un examen complet si ce n'est pas déjà fait
 herisson41​-7 Clique sur Rechercher

 herisson41​-7 Une fois le scan terminé, une fenêtre s'ouvre, clique sur  sur Ok

 herisson41​-7 Si MalwareByte's n'a rien détecté, clique sur Ok  Un rapport va apparaître ferme-le.

 herisson41​-7 Si MalwareByte's a détecté des infections, clique sur Afficher les résultats  ensuite sur Supprimer la sélection

 herisson41​-7 Enregistre le rapport sur ton Bureau comme cela il sera plus facile à retrouver, poste ensuite ce rapport.

 Note : Si MalwareByte's  a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok

 Tutoriel pour MalwareByte's ici :
 http://www.malekal.com/tutoria [...] alware.php


 @++   :)

(Publicité)
manubre
  1. Posté le 10/11/2012 à 22:01:43  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Merci pour ta réponse rapide.

 Voici le rapport
 Malwarebytes Anti-Malware 1.65.1.1000
 www.malwarebytes.org

 Version de la base de données: v2012.11.09.08

 Windows 7 Service Pack 1 x64 NTFS
 Internet Explorer 8.0.7601.17514
 VERO MANU :: VEROMANU-PC [administrateur]

 10/11/2012 15:13:48
 mbam-log-2012-11-10 (15-13-48).txt

 Type d'examen: Examen complet (C:\|D:\|)
 Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
 Options d'examen désactivées: P2P
 Elément(s) analysé(s): 372555
 Temps écoulé: 1 heure(s), 21 minute(s), 14 seconde(s)

 Processus mémoire détecté(s): 0
 (Aucun élément nuisible détecté)

 Module(s) mémoire détecté(s): 0
 (Aucun élément nuisible détecté)

 Clé(s) du Registre détectée(s): 0
 (Aucun élément nuisible détecté)

 Valeur(s) du Registre détectée(s): 0
 (Aucun élément nuisible détecté)

 Elément(s) de données du Registre détecté(s): 0
 (Aucun élément nuisible détecté)

 Dossier(s) détecté(s): 0
 (Aucun élément nuisible détecté)

 Fichier(s) détecté(s): 3
 C:\Users\VERO MANU\AppData\Local\Temp\rrLapA​eL.exe.part (Affiliate.Downloader) -> Mis en quarantaine et supprimé avec succès.
 C:\Users\VERO MANU\AppData\Local\Temp\is1668​783924\BoxoreInstaller.exe (Adware.Boxore) -> Mis en quarantaine et supprimé avec succès.
 C:\Users\VERO MANU\AppData\Roaming\wgsdgsdgd​sgsd.exe (Trojan.Agent.EDDGen) -> Mis en quarantaine et supprimé avec succès.

 (fin)

 Que dois je faire
 Merci

Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 11/11/2012 à 00:25:32  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut manubre


 On va vérifier le PC :

 Télécharge OTL (de OldTimer) et enregistre-le sur ton Bureau.

 - Quitte les applications en cours afin de ne pas interrompre le scan.
 - Faire double clique sur OTL.exe présent sur le bureau pour lancer le programme
 Vista/Seven -- Faire un clique droit sur OTL.exe présent sur le bureau et choisir exécuter en tant qu'administrateur pour lancer le programme
 - Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche "Rapport standard". Fais de même avec "Tous les utilisateurs" à coté.
 - Coche également les cases à côté de "Recherche LOP" et "Recherche Purity".

 Ne modifie pas les autres paramètres !

 Copie la liste qui se trouve en gras ci-dessous, et colle-la dans la zone sous " Personnalisation "

 netsvcs
 msconfig
 safebootminimal
 safebootnetwork
 activex
 drivers32
 %SYSTEMDRIVE%\*.*
 %SYSTEMDRIVE%\*.exe
 %PROGRAMFILES%\*.*
 %PROGRAMFILES%\*.
 /md5start
 consrv.dll
 volsnap.sys
 hidserv.dll
 appmgmts.dll
 eventlog.dll
 winlogon.exe
 scecli.dll
 netlogon.dll
 cngaudit.dll
 sceclt.dll
 ntelogon.dll
 logevent.dll
 iaStor.sys
 nvstor.sys
 atapi.sys
 IdeChnDr.sys
 viasraid.sys
 AGP440.sys
 vaxscsi.sys
 nvatabus.sys
 viamraid.sys
 wininet.dll
 wininit.exe
 nvata.sys
 nvgts.sys
 iastorv.sys
 ViPrt.sys
 eNetHook.dll
 explorer.exe
 svchost.exe
 userinit.exe
 qmgr.dll
 ws2_32.dll
 proquota.exe
 imm32.dll
 kernel32.dll
 ndis.sys
 autochk.exe
 spoolsv.exe
 xmlprov.dll
 ntmssvc.dll
 mswsock.dll
 Beep.SYS
 ntfs.sys
 termsrv.dll
 sfcfiles.dll
 st3shark.sys
 winlogon.exe
 wininit.ini
 /md5stop
 HKEY_LOCAL_MACHINE\SYSTEM\Curr​entControlSet\Control\Session Manager\SubSystems /s
 SAVEMBR:0
 %systemroot%\*. /mp /s
 %systemroot%\system32\*.dll /lockedfiles
 %systemroot%\Tasks\*.job /lockedfiles
 %systemroot%\system32\drivers\​*.sys /lockedfiles
 %systemroot%\System32\config\*​.sav
 c:\$recycle.bin\*.* /s


 - Clique sur le bouton Analyse.
 - Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTListIT2 (donc par défaut sur le Bureau).

 Utilise cjoint.com pour poster en lien tes rapports :
 http://cjoint.com/

 - Clique sur Parcourir pour aller chercher le rapport OTL.txt sur le bureau
 - Clique sur Ouvrir ensuite sur Créer le lien Cjoint

 - Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.

 Après fais de même avec l'autre rapport Extras.txt


 @++   :)

 Page :
1

Aller à :
 

Sujets relatifs
ordinateur bloqué; (ukash, ministère de l'intérieur) Virus Ukash - gendarmerie nationale [résolu]
Virus Ukash/police/ordinateur bloqué Invasion virus, plus de connection internet! (RESOLU)
Résolu: Ordinateur lent et mots soulignées en vert Bloquer avec un spyware
ordinateur qui s'éteint brusquement ... mon ordinateur est trop lent
Suite virus downloader => Bureau windows tout bleu  
Plus de sujets relatifs à : Ordinateur bloquer suite au virus ukash de la gendarmerie

Les 5 sujets de discussion précédents Nombre de réponses Dernier message
clavier ordinateu 4
[Résolu] Contamination par Sweet IM 26
pb 0
lenteur 0
test de nouveau sujet sécurite 0